Чи не публікуйте авіаквитки онлайн - ризикуєте нікуди не полетіти

Люди масово викладають фотографії своїх квитків онлайн. Чому б і ні? В одному тільки Instagram можна знайти тисячі знімків з квитками на концерт, на поїзд або на літак.

Якщо все публікують такі фото, то чому це погано?

Насправді найостанніше, що варто зробити зі своїм авіаквитком, - це викласти його фотографію в соцмережі. На цьому маленькому клаптику паперу міститься інформація, яка дозволяє будь-кому вкрасти ваш посадковий талон (без перебільшень!), Переписати на свій рахунок накопичені милі або просто зіпсувати ваш відпочинок.

Рік тому ми розповідали , Що може зробити хакер , Маючи на руках дані чийогось посадкового талона. Ну а тепер фахівці з безпеки Карстен Нол (Karsten Nohl) і його колега Неманя Нікодіевіц (Nemanja Nikodijevic) підняли це питання на Chaos Communication Congress (33с3).

Авіаперевізникам, туристичним агентствам, сайтам-агрегаторами, що дозволяє порівняти ціни на квитки, і іншим причетним сервісів дуже потрібно, щоб люди могли максимально легко бронювати квитки. Для цього індустрія використовує так звані глобальні дистриб'юторські системи (GDS). З їх допомогою авіакомпанії перевіряють розклад і наявність рейсів, не заброньоване чи одне і те ж місце двічі на різних сайтах, і тому подібні речі.

Робота GDS тісно пов'язана з Інтернетом, але, на жаль, сучасні методи захисту веб-сервісів в GDS до сих пір не застосовуються. В результаті з точки зору безпеки ці системи сильно застаріли, і що накопичилися за багато років уразливості дозволяють зловмисникам накоїти чимало справ.

В даний час існує близько 20 різних глобальних систем бронювання, але Карстен Нол і Неманя Нікодіевіц обмежили свої дослідження трьома найбільшими: Sabre (заснована в 1960 році), Amadeus (заснована в 1987-му) і Galileo (зараз є підрозділом Travelport). Ці три системи обслуговують більше 90% всіх замовлень бронювання квитків, а також готелів, автомобілів і турпоїздок.

Наприклад, авіакомпанії Lufthansa і AirBerlin, а також великий сайт Expedia працюють з Amadeus. American Airlines і «Аерофлот» воліють Sabre. Складно напевно сказати, в яку саме GDS потраплять дані конкретного пасажира: так, якщо користувач забронює квиток на рейс American Airlines за допомогою Expedia, його замовлення буде зареєстрований і в Amadeus, і в Sabre.

Вимоги різних систем бронювання відрізняються, але в цілому GDS зазвичай записують ім'я пасажира, дату народження, номер телефону, а також номер квитка, аеропорти відправлення та призначення, час і дату польоту. GDS також реєструє платіжну інформацію (наприклад, номер кредитної картки). Іншими словами, в розпорядження GDS потрапляють досить-таки цінні і конфіденційні відомості.

Нол і Нікодіевіц з'ясували, що доступ до цих даних є у величезної кількості людей, які працюють в авіаіндустрії: співробітників авіакомпаній, туроператорів, представників готелів та інших посередників. Дослідники вважають, що деякі урядові організації також мають доступ до цих записів. Але насправді це лише частина проблеми.

Для доступу до даних пасажира GDS створює пару «логін-пароль». В якості логіна використовується прізвище пасажира, а в якості пароля - шестизначний код бронювання. Більшості мандрівників він відомий як PNR . Так, той самий PNR, який відкрито друкується на всіх посадочних талонах і багажних бирках, і є вашим паролем.

«Якщо PNR повинен бути секретним паролем, з ним і звертатися потрібно відповідним чином, - говорить Нол. - Але авіакомпанії не зберігають його в таємниці: навпаки, роздруківка з PNR кріпиться до кожного валізи. Раніше код PNR друкували на посадочних талонах, але з часом замінили його штрихкодом ». Ось тільки ці штрих-коди як і раніше містять PNR - в закодованому вигляді.

Більшість мандрівників не розуміють, як влаштована робота систем бронювання, тому вони безтурботно публікують свої квитки онлайн разом з закодованим PNR. Але штрихкод - НЕ суперскладний шифр, його без проблем можна вважати за допомогою спеціальних програм. Тому будь-який, хто сфотографує вашу багажну бирку в аеропорту або знайде знімок вашого квитка в Інтернеті, може отримати доступ до ваших особистих даних. Не потрібно бути хакером, щоб скористатися недосконалістю захисту систем бронювання, - досить просто знати, де і що шукати. На відео нижче, наприклад, показано, як Нол і Нікодіевіц знайшли в Instagram чийсь знімок авіаквитка і розшифрували інформацію, закодовану в надрукованому на ньому штрихкоді.

Крім того, багато сайтів не блокують користувачів, які вводять неправильний пароль багато разів. В результаті зловмисники можуть обрати вашу прізвище (скажімо, Смирнов) і просто підібрати PNR цю людину за допомогою перебору.

Це нескладно: по-перше, PNR - це код з шести символів верхнього регістру, який не містить нулів, одиниць або спеціальних символів. По-друге, багато компаній використовують недосконалі алгоритми генерації кодів. Наприклад, деякі з них поміщають однакові символи на початку PNR, згенерованих в певний день. Інші призначають спеціальні символи для конкретних авіаліній. Така практика істотно скорочує кількість символів, які потрібно вгадати.

Нол і Нікодіевіц довели, що злом PNR не вимагає багато часу. У тому ж відео можна подивитися наочну демонстрацію процесу злому. Отримали прізвище та PNR - придбали доступ до решти особистих даних.

В результаті злочинці можуть збирати в GDS конфіденційні дані пасажирів і використовувати їх для складних фішингових кампаній. Уявіть: якийсь Смирнов бронює квитки на рейс до Берліна, а через 10 хвилин він отримує лист, в якому авіакомпанія просить його підтвердити дані банківської картки. У листі згадуються ім'я і прізвище пасажира, дата польоту, аеропорт прильоту і інші подробиці броні. Виглядає воно правдоподібно? Ще й як! Швидше за все, Смирнов без особливих сумнівів перейде по посиланню і введе дані своєї банківської картки, ось тільки сайт буде фальшивим.

Крім того, підібравши PNR і провівши невелике додаткове дослідження, злочинці можуть змінити дату польоту або скасувати квиток і отримати відшкодування на власний рахунок. Деякі сайти дозволяють поміняти ім'я, прізвище і номер паспорта пасажира, так що злочинці зможуть відправитися на рейс замість нього. Крім того, зловмисники можуть отримати бонусні милі замість справжнього власника квитка. Загалом, за допомогою PNR зломщик може розжитися безкоштовними квитками, необмеженою кількістю миль і навіть грошима.

І ще один сумний факт: незважаючи на те що фахівці з безпеки і журналісти за останні кілька років неодноразово піднімали це питання, провайдери GDS досі відмовляються реєструвати спроби отримання доступу до PNR. Тому ніхто не може відстежити б о більшу частину інцидентів зловживання цією системою. Відомими стають тільки найгучніші події - наприклад, коли злочинці крадуть у пасажирів квитки і ті звертаються в авіакомпанію зі скаргою. Про більш продуманих і обережних випадки шахрайства і розкрадання даних не відомо нічого.

Нол і Нікодіевіц вважають, що пасажирам не варто чекати істотних змін найближчим часом. Насправді індустрії потрібно переробити всю систему бронювання квитків цілком, і найбільш імовірно, що тільки розквіт шахрайства з бронюванням здатний надихнути авіакомпанії на такий масштабний проект.

Зараз же ми рекомендуємо всім мандрівникам дотримуватися двох простих правил: зберігати пильність і ніколи, ні за яких обставин не публікувати свій посадковий талон в Інтернеті. Навіть старий квиток може видати злочинцям ваші фінансові та особисті дані.